[PHP][MySQL]Czy dobrze zabezpieczyłem skrypt przed SQL Injection? Opcje

[Rookie]

Witam,
Wiem wiem, dubluję temat, ale w poprzednim takim samym było trochę błędów, których nie wiem dlaczego nie mogłem edytować, bo po naciśnięciu edytuj pokazał się tylko fragment mojej wiadomości i do tego nie ten który chciałem edytować, więc proszę o usunięcie poprzedniego.
Napisałem obsługę edycji filmów w bazie danych i starałem się go zabezpieczyć przed sql injection, jednak nie wiem czy mi się udało.
Na tą stronę można się dostać tylko poprzez zalogowanie, więc mój atak sprawdzający skuteczność polegał na zaznaczeniu zamiast danych edytowanego filmu to danych użytkownika.
Skrypt wygląda następująco:
Plik add.php:

[PHP] pobierz, plaintext 
if (isset($_GET[edytuj])) {
header("Location: edit.php?edytuj=$_GET[edytuj]");
exit();
}
[PHP] pobierz, plaintext 

[HTML] pobierz, plaintext 
<td valign="top" class="trescc">
<a href="add.php?edytuj='.$dane[id_filmu].'"><img src="graf/edytuj.png" alt="Usuń" style="border: 0px;" title="Edytuj"></a>
</td>
[HTML] pobierz, plaintext 

Plik edit.php:

[PHP] pobierz, plaintext 
<?php
require('conn.php');
$edytuj=mysql_real_escape_string(trim($_GET[edytuj]));
$mysql=mysql_query("SELECT * FROM filmy WHERE id_filmu='$edytuj'") or die (mysql_error());
$ile=mysql_num_rows($mysql);
if($ile != 1){
header("Location: add.php");
 exit();
}
require_once('funkcje.php');
naglowek('Edytuj');
while($edit = mysql_fetch_assoc($mysql)) {
$wys_tytul=($edit[tytul]);
$wys_ilosc=($edit[ilosc]);
$wys_pochodzenie=($edit[pochodzenie]);
$wys_typ=($edit[typ]);
$wys_rodzaj=($edit[rodzaj]);
}
?>
[PHP] pobierz, plaintext 

Próbowałem wpisać adres tak:

http://localhost/FILMY/add.php?edytuj=0 UNION SELECT `login`,`imie`,`nazwisko`,`email`,`password` FROM `user` WHERE `id` = 1 /*

Lecz na szczęście z niepowodzeniem ;p
Dodam, że id jest dobre, id=1 to akurat admin.
Jeżeli, ktoś się na tym zna lepiej, niech napisze odpowiednio spreparowanego linka, ażeby wyświetlić dane użytkownika admin w polu z filmem.
A no i jeszcze wyświetlane dane w pliku edit.php

[HTML] pobierz, plaintext 
<tr class="hov">
 <td valign="top" class="trescc" align="right">1&nbsp;</td>
 <td valign="top" class="trescc">
 <?php echo $wys_tytul; ?>
 </td>
<td valign="top" class="trescc">
 <?php echo $wys_ilosc; ?>
 </td>
 <td valign="top" class="trescc">
 <?php echo $wys_pochodzenie; ?>
 </td>
 <td valign="top" class="trescc">
 <?php echo $wys_typ; ?>
 </td>
 <td valign="top" class="trescc">
 <?php echo $wys_rodzaj; ?>
 </td>
 </tr>
[HTML] pobierz, plaintext 

Poproszę jakiegoś eksperta o potwierdzenie bezpieczeństwa skryptu bądź podanie linka do wyświetlenia danych użytkownika w miejscu wyświetlania filmu.
Z góry dziękuję.

[bełdzio]

mysql_real_escape_string służy do escapowania stringów, a nie liczb, jak masz liczbę to po prosu spr czy jest to liczba / rzutuj na inta

[Rookie]

Ale mysql_real_escape_string daje to: \ przed apostrofami, więc mogę zrobić z tego inta ale mysql_real_escape_string lepiej żeby był ;p

[skowron-line]

Ale mysql_real_escape_string daje to: \ przed apostrofami, więc mogę zrobić z tego inta ale mysql_real_escape_string lepiej żeby był ;p

To pierdyknij sobie przed wszystkik escapowanie i nie bedziesz miał problemu.
+
Na forum jest temat o SQL Injection dobrze by było jak byś przeczytał.


P.S Olsztyn górą (IMG:style_emoticons/default/smile.gif)

Ten post edytował skowron-line 23.08.2009, 16:53:59

[Rookie]

Czytałem ten temat, ale chciałem po prostu się upewnić czy mój skrypt jest na to podatny (IMG:style_emoticons/default/smile.gif)
Jak do tej pory nikt nie podał mi odpowiedniego linku to myślę, że spokojnie mogę wywnioskować, iż się dobrze zabezpieczyłem ;p
PS. A jak (IMG:style_emoticons/default/biggrin.gif)